指紋や静脈,筆跡など生体の情報や動作を用いて個人を識別する生体認証(バイオメトリクス)。これをセキュリティ強化に用いる動きが目立ってきた。では,生体認証を利用すれば万全のセキュリティを得られるのだろうか。答えは「否」。必ずしも万全とは言い切れない。

 確かに長いパスワードや複数のパスワードを覚えたり,トークンを持ち歩いたりしなくてもよいため利便性に富む。本人しか持ち得ない情報を使うためセキュリティが高いといわれる。ここ1年で生体認証関連の製品やサービスがずいぶんと増えた。特にATMで採用された静脈認証に注目が集まっており,「生体認証は高セキュリティ」というイメージが強いようだ。2005年8月26日付の日本経済新聞によると,3大都市圏で調査した金融機関の安全対策に対する評価では,生体認証をATMに導入済みの東京三菱銀行が「安全対策」および「安全対策充実度のイメージ」で2位以下を大きく引き離しトップだった。 

 筆者は生体認証のセキュリティに関してこんな体験をしたことがある。以前,指紋認証装置を17機種集めて検証した際,すべての装置がゼラチンで作った人工指を誤って認証してしまったのだ(日経バイト4月号参照)。指紋認証装置のみの検証だったが,この経験から「生体認証は本当に高セキュリティなのか?」という疑問を抱いた。

 そこで,日経バイト10月号の特集で主な認証方式(指紋,静脈,虹彩,顔)の特徴や課題,運用面での課題を取材した。取材を終え,冒頭に述べたような結論に至った。ただし誤解してはならないのが,生体認証は決して「使えない」わけではないということだ。適用場所に応じて認証技術を組み合わせたり運用方法を考えて,“望ましい使い方(誤認証されにくい使い方)”をすれば,大きな負担なくセキュリティを確保できる手段になり得る。

生体情報ゆえの難点

 なぜ高セキュリティだと言い切れないのか。それは,いずれの方式にせよ,生体情報を使うがゆえの弱点があるからだ。特に,(1)誤認証がゼロではない,(2)なりすましが可能,(3)生体データは生涯不変,という三つが問題だ。

 一つ目の誤認証は生体認証の照合手法に起因する。生体認証は,指紋の紋様や静脈パターン,虹彩の筋の紋様が登録したデータと「どれくらい似ているか」で本人かどうかを判別する。アナログ情報であるため,生体の状態や撮影時の状況よっては,生体情報の特徴がよく似た他人を誤って認証する可能性がある。逆に本人であるにもかかわらず拒否される可能性もある。つまり誤認証のリスクはゼロではない。

 しかも,条件や使い方によって認証率は大きく変わる。メーカーがうたう精度や認証時間は,適切な条件のもと,適切な使い方をした場合の値である。指紋認証や静脈認証であればセンサー面への置き方が問題になるし,虹彩認証であればきちんと撮影できる位置や目の開き具合が求められる。

 二つ目のなりすましも,登録データとの類似度が高い偽造データを作りさえすれば機械をだませる。対策としては,生体かどうかを検知する機能を搭載することが有効だ。ところがコンシューマ向けに売られている指紋認証装置には,生体かどうかを判別する生体検知機能をあえていれていないことが多い。値ごろ感のある価格に設定し,短時間で認証できるよう使い勝手を高めるには,コストアップや照合時間延長の要因となる生体検知機能は入れたくないというのが,多くのメーカーの本音である。

 三つ目の生体データは変えられないというのは,登録データを盗まれたり,他人に指紋や静脈パターンなどの生体情報を知られてしまった場合に問題になる。個人特有で生涯変わらないという生体情報(動作以外)の性質が認証に向く半面,盗まれた場合は大きな脅威となる。今のところ,ICカードに登録データを格納し,ICチップに搭載した照合エンジンを使ってマッチングさせる手法が好まれている。ユーザーが自身の個人データを管理することで,流出のリスクを自己責任にするとともにユーザーの安心感を担保している。

システム全体として考える

 取材を進める中でこうした生体認証の弱点を認識したが,同時に生体認証をうまく活用すれば利便性もセキュリティも向上させられるという可能性も感じた。

 生体認証の有効性は,適用場所や使い方で大きく変わる。必要なセキュリティ・レベル,コスト,適用場所に応じて,方式を選択したり他の技術と組み合わせればよい。個人で使うのか大勢で使うのか,面倒でも高セキュリティが必要かそれとも利便性を重視するのか,お金を掛けられるのか安価に抑えたいのか,によって導入する方式も使い方も変わってくる。それに,生体認証技術以外の暗号技術やデータ管理手法などもセキュリティ・レベルに影響するため「認証技術や暗号技術などを含めてシステム全体として品質を保証する考え方が必要」(日立製作所 システム開発研究所の瀬戸洋一主管研究員)となる。

 そう考えると,さまざまな使い方があり得る。既存のセキュリティ・レベルをユーザーに負担をかけずに向上させたいのであれば,既存のパスワードに併用すべきだ。家で使う個人のパソコンであれば,Webカメラで簡単に認証できてしまうような顔認証を単体で導入するだけでよいかもしれない。また,生体検知機能が入っていない安価な指紋認証装置であっても,係員が対面でチェックするような場所なら,なりすましのリスクはだいぶ減る。生体検知機能の有無については,「対面など使い方によってはグミ指(ゼラチン製の人工指)を見破れるのだから,グミ指を認証してしまうからといって使い物にならないわけではない。グミ指は認証してしまうけど安いというのは製品としての一つの特徴」(日本銀行金融研究所 情報技術研究センター長の岩下直行氏)ともいえる。

 取材を通して,高セキュリティというイメージ先行や,生体認証の一面を見て「使えない」と決めつけてしまう段階から,利便性とセキュリティのバランスがとれる有効な使い方を探る段階へ向かわねばならないと感じた。そのためにはメーカー側がより多くの情報を提供する必要がある。本人拒否率(誤って本人を拒否する率)や他人受入率(他人を受け入れてしまう率)の低さを示すメーカーにとって都合のいいデータばかりが目立つと,「生体認証=高セキュリティ」というイメージだけが先行しがちだ。ぜひ,生体認証のリスクを低減するような適切な使い方に関する情報も積極的に提供してほしい。

(堀内かほり=日経バイト